CVSS: 5.3EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8812
https://notcve.org/view.php?id=CVE-2017-8812
MediaWiki before 1.27.4, 1.28.x before 1.28.3, and 1.29.x before 1.29.2 allows remote attackers to inject > (greater than) characters via the id attribute of a headline. MediaWiki en versiones anteriores a la 1.27.4; las versiones 1.28.x anteriores a la 1.28.3 y las versiones 1.29.x anteriores a la 1.29.2 permite que atacantes remotos inyecten caracteres > (mayor que) mediante el atributo id de un encabezado. • http://www.securitytracker.com/id/1039812 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-November/000216.html https://www.debian.org/security/2017/dsa-4036 •
CVSS: 9.8EPSS: 88%CPEs: 8EXPL: 1CVE-2017-0372 – Parameters injection in SyntaxHighlight results in multiple vulnerabilities
https://notcve.org/view.php?id=CVE-2017-0372
Parameters injection in the SyntaxHighlight extension of Mediawiki before 1.23.16, 1.27.3 and 1.28.2 might result in multiple vulnerabilities. Inyección de parámetros en la extensión SyntaxHighlight de Mediawiki, en versiones anteriores a la 1.23.16, 1.27.3 y 1.28.2 podría resultar en múltiples vulnerabilidades. A vulnerability was found in the SyntaxHighlight MediaWiki extension. Using this vulnerability it is possible for an anonymous attacker to pass arbitrary options to the Pygments library. By specifying specially crafted options, it is possible for an attacker to trigger a (stored) cross site scripting condition. • https://bugs.debian.org/861585 https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000209.html https://phabricator.wikimedia.org/T158689 https://security-tracker.debian.org/tracker/CVE-2017-0372 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6331
https://notcve.org/view.php?id=CVE-2016-6331
ApiParse in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to bypass intended per-title read restrictions via a parse action to api.php. ApiParse en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite a atacantes remotos eludir las restricciones de lectura previstas por título a través de una acción de análisis a api.php. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T115333 • CWE-284: Improper Access Control •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6333
https://notcve.org/view.php?id=CVE-2016-6333
Cross-site scripting (XSS) vulnerability in the CSS user subpage preview feature in MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote attackers to inject arbitrary web script or HTML via the edit box in Special:MyPage/common.css. Vulnerabilidad XSS en la función de vista previa de subpáginas de usuario CSS en MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4 y 1.27.x en versiones anteriores a 1.27.1 permite atacantes remotos inyectar secuencias de comandos web o HTML arbitraria a través del cuadro de edición en Special: MyPage / common.css. • http://www.securityfocus.com/bid/98053 https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T133147 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2016-6336
https://notcve.org/view.php?id=CVE-2016-6336
MediaWiki before 1.23.15, 1.26.x before 1.26.4, and 1.27.x before 1.27.1 allows remote authenticated users with undelete permissions to bypass intended suppressrevision and deleterevision restrictions and remove the revision deletion status of arbitrary file revisions by using Special:Undelete. MediaWiki en versiones anteriores a 1.23.15, 1.26.x en versiones anteriores a 1.26.4, y 1.27.x en versiones anteriores a 1.27.1 permite a los usuarios autenticados remotos con permisos undelete eludir las restricciones destinadas a supresión y eliminación de la revisión y eliminar el estado de eliminación de revisión de las revisiones arbitrarias de archivos mediante el uso de Special:Undelete. • https://bugzilla.redhat.com/show_bug.cgi?id=1369613 https://lists.wikimedia.org/pipermail/mediawiki-announce/2016-August/000195.html https://phabricator.wikimedia.org/T132926 • CWE-284: Improper Access Control •